Informes sobre APT

El misterio de Duqu: Parte 1

En primer lugar, nos parece necesario aclarar una confusión respecto a unos archivos y sus nombres relacionados con este incidente. Para poder comprender la situación en toda su amplitud, informamos al lector que nos referimos sólo a dos programas maliciosos (como mínimo): el módulo principal y un keylogger. Todo lo que se ha dicho en las últimas 24 horas sobre las conexiones entre Dugu y Stuxnet se relaciona principalmente con el primero: el módulo principal.
El módulo principal consta de tres componentes:

  • un controlador que inyecta una DLL en los procesos del sistema;;
  • una DLL que tiene un módulo adicional y que funciona con el servidor de comando y control; y
  • un archivo de configuración.

El módulo es muy similar a Stuxnet, tanto en estructura como en comportamiento. Sin embargo, el nombre Duqu no tiene casi nada que ver con esto. Este nombre se basa en nombres de archivos que están relacionados ¡con un programa espía malicioso completamente diferente!

Este segundo programa malicioso, que es esencialmente un keylogger (pero que es capaz de recopilar otro tipo de información), fue detectado en el sistema de uno de los ordenadores cautivos junto al módulo principal mencionado arriba. Debido a ello, además de la habilidad del módulo para descargar otros componentes, se asumió que el módulo principal y el keylogger estaban de alguna manera relacionados. Mientras funciona en un sistema, el keylogger recopila información desde archivos con nombres como ~DQx.tmp. Entonces, el nombre del módulo principal, Duqu, proviene de estos archivos.

Pero en realidad, el código del troyano espía demuestra en parte la conexión entre este programa malicioso y el módulo principal, y probablemente lo descargó el módulo principal en algún momento previo. Pero en cuanto a su funcionalidad, se trata de una aplicación maliciosa independiente capaz de funcionar sin el módulo principal. A su vez, el módulo principal es capaz de funcionar sin el troyano espía. Sin embargo, la conexión entre el keylogger y Stuxnet no es muy obvia, y es por eso que se puede, como máximo, llamarlo nieto de Stuxnet, pero ciertamente no su hijo.

Hace un año, durante nuestro análisis de Stuxnet, llegamos a la conclusión de que constaba de dos partes: Una plataforma portadora, y un módulo separado a cargo de PLC. En realidad, Stuxnet es más bien como un verdadero misil con un módulo overclocking (un gusano), y una ojiva, el módulo PLC.

Habíamos sugerido que Stuxnet fue probablemente desarrollado por dos distintos grupos de personas que quizás no conocían la existencia del otro o el objetivo supremo del proyecto.

La parte de Stuxnet que está a cargo de su propagación e infección de sistemas puede volverse a usar, pero con una diferente “ojiva”.
Y con Duqu sucedió algo similar. Sin embargo, Duqu no tenía una “ojiva”, aunque era capaz de instalar cualquier “ojiva”, en cualquier momento, y apuntar a cualquier blanco.
Es necesario aclarar la secuencia de los acontecimientos que ya son conocidos y que pueden revelarse.

La historia del descubrimiento y detección del archivo de Duqu

El troyano espía

El primer encuentro entre Duqu y los desarrolladores antivirus se dio el 1 de septiembre de 2011, cuando alguien desde Hungría envió a Virustotal un archivo llamado ~DN1.tmp para su análisis.
El nombre del archivo indica que posiblemente se lo encontró en un ordenador infectado. El archivo no era un componente del módulo principal, sino un troyano espía que probablemente se instaló en un sistema ya infectado por Duqu.

En aquel momento detectaban el archivo cuatro productos, pero solo dos motores antivirus: BitDefender (como Gen:Trojan.Heur.FU.fuW@aGOd0Wpi), y AVIRA (como TR/Crypt.XPACK.Gen3); F-Secure y G-DATA usan el motor de BitDefender.
Esto es muy interesante. Indicaba que a los autores de Duqu no les importaba que estos cuatro programas antivirus en particular detectaran el módulo. Sin embargo, estas detecciones ayudaron a descubrir el módulo.

Después de la detección inicial, muchas compañías antivirus añadieron el archivo a sus bases de datos, entre el 9 y el 19 de septiembre, en su mayoría. Kaspersky Lab lo añadió a su base de datos como Trojan.Win32.Inject.bjyg el 14 de septiembre. Ese mismo día, Microsoft hacía lo propio (Trojan:Win32/Hideproc.G).

No habría sido desatinado pensar que el hecho de que varios programas antivirus detectaran la firma de este archivo significaba que el módulo principal de Duqu también podría detectarse. Sin embargo, ocurrió todo lo contrario.

El controlador

El primer archivo Duqu “real” también se envió a Virustotal para su análisis, quizás también desde Hungría. Esto sucedió el 9 de septiembre.

El archivo se envió con su nombre original, cmi4432.sys, que indica la variante del controlador, que tiene una firma digital C-Media.

1 Publisher C-Media Electronics Incorporation
2 Product C-Media Electronics Incorporation
3 Internal name cmi4432.sys
4 File version 4.2.0.15
5 Original name cmi4432.sys
6 Signers C-Media Electronics Incorporation
VeriSign Class 3 Code Signing 2009-2 CA
Class 3 Public Primary Certification Authority
7 Description Onboard Sound Driver
8 Size 29568 bytes

Ninguno de los 43 programas antivirus de Virustotal pudo detectarlo, ni el 9 de septiembre (la primera presentación del módulo principal a Virustotal), ni el 17 de octubre (cuando se publicó la información sobre Duqu). Todas las detecciones se añadieron después de su publicación.
Este indiscutible hecho demuestra que los autores de Duqu fueron muy cuidadosos con su creación. A pesar de la similitud con Stuxnet, lograron modificar el código y evitar la detección de los más reconocidos programas antivirus.

Resulta interesante observar la correlación entre el momento exacto de la presentación en Hungría a Virustotal y la información pública sobre los archivos, que ya estaba disponible. Nos referimos a las entradas de blog publicadas por un blogero húngaro (ver www.securelist.com/en/blog/208193178/Duqu_FAQ), especialmente los del 8 de septiembre, en las que señala el MD5 del archivo: ¡el módulo principal y el troyano espía!

Buscando a amigos de enemigos 9749d38ae9b9ddd81b50aad679ee87ec Sabéis a qué me refiero. Sabéis por qué.

0eecd17c6c215b358b7b872b74bfd800 también es interesante. b4ac366e24204d821376653279cbad86 ?

Investigamos esta situación y llegamos a la conclusión de que el bloguero húngaro probablemente trabaja para Data Contact (www.dc.hu), un proveedor de servicios/alojamiento de Internet y autoridad certificatoria en Budapest. Quizás esta compañía o sus clientes encontraron estos archivos en sus ordenadores.

Sinceramente, nosotros, al igual que otros desarrolladores antivirus, sabemos que al menos otra compañía en Hungría fue víctima de Dugu. Pero en este momento esta información es clasificada.
La segunda variante del controlador también se presentó a Virustotal y probablemente también en Hungría. Esto sucedió en 18 de septiembre y el nombre original del archivo es jminet7.sys.

Esta variante no tiene una firma digital y pasa como un archivo de JMicron.

1 Publisher JMicron Technology Corporation
2 Product JMicron Volume Snapshot
3 Description JMicron Volume Snapshot Driver
4 File version 2.1.0.14
5 Original name jminet7.sys
6 Internal name jminet7.sys
7 Size 24960 bytes

Y, nuevamente, como en el caso del primer controlador, no observamos ninguna detección de parte de Virustotal sino hasta el 18 de octubre.

Virustotal no detectó ningún archivo PNF, que son DLL codificadas, ni archivos de configuración de controladores, y ningún fabricante antivirus supo de estos archivos sino hasta la primera publicación oficial acerca de Dugu.

La historia continúa…

Sin embargo, desde la recopilación de toda la información sobre Dugu y su publicación, se han detectado nuevos archivos de este programa malicioso. Esto significa que los autores de Duqu están monitoreando la situación, están reaccionando a los acontecimientos, y no se van a detener.

El tercer controlador

El 18 de octubre se detectó un nuevo controlador, con una nueva fecha de creación y un nuevo archivo de información. El 19 de octubre, dos nuevas fuentes presentaron este archivo a Virustotal, una en Austria y otra en Indonesia, casi de forma simultánea (¡con una diferencia de 18 minutos!
La nueva variante pasa como un controlador de IBM:

1 Publisher IBM Corporation (c)
2 Product IBM ServeRAID Contoller
3 Description IBM ServeRAID Controller Driver
4 File version 4.33.0.12
5 Original name nfrd965.sys
6 Internal name nfrd965.sys
7 Size 24960 bytes

No tiene firma digital y se compiló el 17 de octubre.

El cuarto controlador

A través de Virustotal recibimos un nuevo controlador la noche del 20 de octubre, que difiere de las versiones anteriores. Se lo envío desde el Reino Unido.

Tampoco tiene firma digital y también se compiló el 17 de octubre (la misma fecha que el controlador IBM).

1 Publisher Adaptec Inc (c)
2 Product Adaptec Windows 321 Family Driver
3 Description Adaptec StorPort Ultra321 SCSI Driver
4 File version 2.1.0.14
5 Original name adpu321.sys
6 Internal name adpu321.sys
7 Size 24960 bytes

Observa el nombre del archivo: adpu321.sys. Esto cobra sentido e interés en la siguiente parte de la historia…

Blanco: ¿el mundo entero?

Recordemos la historia de Stuxnet. Nosotros, así como otras compañías antivirus, detectamos miles de infecciones (especialmente en Irán) inmediatamente después de su descubrimiento y detección. Esto proporcionó información exacta sobre el probable blanco, e investigaciones posteriores confirmaron esta teoría.

Pero, ¿qué hay sobre el mapa de infección de Duqu? Usamos nuestra red en la nube Kaspersky Security Network, que nos permite rastrear cualquier actividad maliciosa en los sistemas de nuestros clientes.
Los resultados son sorprendentes. ¡Encontramos sólo UNA infección real en las 24 horas después de agregar la detección de todos los módulos!

Y el país en el que el usuario infectado reside es altamente específico y completamente diferente a todos los países que hemos mencionado en este informe (Hungría, Austria, Indonesia, Reino Unido).
En este momento estamos intentando contactar con el usuario para poder realizar una investigación más profunda y buscar los componentes no identificados de Duqu que probablemente se encuentran en el sistema infectado. Por ahora, sólo podemos señalar que el controlador malicioso que se encontró en ese país tiene un nombre completamente diferente: adp95xx.sys (similar a adpu321.sys). Esto significa que en las últimas 48 horas se han detectado TRES diferentes controladores Duqu. Y es posible que hayan otros más.

Es importante señalar que hemos podido observar sólo una infección causada por del módulo principal de Duqu y que no hemos notado ninguna causada por el troyano espía. Esto significa que:

  • el cliente está infectado con un módulo maliciosos desconocido; o
  • que en este caso, no existe una “ojiva”.

De hecho, esto significaría que puede haber muchas variantes de Duqu, es decir, no necesariamente con un keylogger, al que se señala como el único módulo malicioso conocido. En nuestra opinión, podrían existir otros módulos, capaces de hacer lo que sea.

A diferencia de Stuxnet, que infectó a muchos sistemas pero que buscaba un blanco determinado, Duqu infecta a muy pocos sistemas muy específicos en todo el mundo, pero puede usar módulos completamente distintos para cada sistema.

Además, en este momento nadie ha podido encontrar el archivo instalador (dropper) que tiene que ser el primer eslabón de esta cadena infecciosa, y que es responsable de la instalación del controlador y de la DLL.

Este archivo puede ser un gusano y usar varios exploits.

Este archivo es la clave para resolver el rompecabezas del Duqu.

Nuestra búsqueda continúa…

ACTUALIZACIÓN

Justo después de la publicación, encontramos un interesante vínculo (http://systemexplorer.net/db/adpu321.sys.html) que contiene información sobre otro controlador Duqu. Tiene el mismo nombre de archivo que el cuarto archivo que hemos descrito (adpu321.sys). Pero, como se puede observar, se descubrió el 21 de septiembre, y el archivo que hemos descrito fue creado ¡el 17 de octubre!. Esto simplemente subraya nuestra creencia de que pueden haber muchos controladores Duqu que pasan inadvertidos (pero que pueden detectarse).

El misterio de Duqu: Parte 1

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada